I nuovi obblighi della normativa whistleblowing
Il 17 dicembre dello scorso anno è scaduto il termine per adeguarsi anche per l’ultima delle categorie di soggetti obbligati.
Il D.lgs. 10 marzo 2023 n. 24 attua in Italia la nuova normativa whistleblowing di cui alla Direttiva 2019/1937 del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione.
Con esso, sorgono nuovi obblighi per i destinatari, sia pubblici che privati.
In particolare, tra «soggetti del settore privato», rientrano nell’ambito di applicazione della disciplina i soggetti diversi da quelli rientranti nella definizione di soggetti del settore pubblico i quali:
- hanno impiegato, nell’ultimo anno, una media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
- svolgono la propria attività nei settori individuati come rilevanti ai fini dell’applicazione della normativa whistleblowing, anche se nell’ultimo anno non hanno raggiunto la media di 50 lavoratori subordinati;
- rientrano nell’ambito di applicazione del D.lgs. 231/2001 e adottano modelli di organizzazione e gestione, anche se nell’ultimo anno non hanno raggiunto la media di 50 lavoratori subordinati.
Quali sono i principali obblighi posti a carico di questi soggetti:
- adozione di un canale di segnalazione interno, che garantisca l’adeguata riservatezza circa la persona del segnalante;
- designazione della persona o dell’ufficio interno autonomo, cui affidare la gestione del canale di segnalazione interno;
- descrizione delle procedure per la gestione del canale di segnalazione interno, che devono rispettare gli obblighi di riservatezza e di protezione dei dati personali trattati, nonché i tempi indicati dal legislatore per fornire al segnalante, l’avviso di ricevimento della segnalazione e il riscontro circa l’esito della procedura di seguito, con possibilità di interlocuzioni e richieste di integrazioni delle informazioni nel corso della procedura;
- predisposizione di idonea informativa da rendere conoscibile ed accessibile a tutti i destinatari della normativa, sia, quindi, ai lavoratori interni alla compagine aziendale che a tutti coloro che con essa vengono in contatto per motivi di lavoro;
- adeguamento della documentazione privacy aziendale, comprensiva di:
- predisposizione delle lettere di incarico per i soggetti designati ai sensi dell’art. 29 GDPR e dell’art. 2-quaterdecies Codice Privacy, ovvero del contratto di nomina per responsabile del trattamento ai sensi dell’art. 28 GDPR, nel caso in cui l’incarico sia assegnato a un servizio esterno, ad esempio nel caso in cui il soggetto designato sia l’azienda fornitrice del software utilizzato per raccogliere le segnalazioni,
- integrazione del registro dei trattamenti con il nuovo trattamento, nel rispetto dell’art. 30 GDPR, come interpretato nella Faq del Garante per la protezione dei dati personali reperibili sul sito web dell’autorità,
- effettuazione della valutazione d’impatto (DPIA), ai sensi dell’art. 35 GDPR, come disposto all’art. 13, comma 6, D.lgs. 24/2023,
predisposizione di adeguata informativa per gli interessati ai sensi dell’art. 13 GDPR.